Обнаружен троян, похищающий файлы с секретными ключами ЭЦП клиентов системы «iBank 2»
Компания «БИФИТ» при участии одного из региональных банков обнаружила специализированную вредоносную программу (троян), которая похищает у пользователей системы «iBank 2» файлы
с секретными ключами ЭЦП и пароли, вводимые с клавиатуры.
Троян, проникнув на компьютер клиента через уязвимости в системном ПО, перехватывает управление, подменяет системные динамические библиотеки, после чего начинает отслеживать ввод с клавиатуры, файловый ввод-вывод с поиском файлов
с секретными ключами ЭЦП клиента, а также вызовы динамических библиотек.
Далее троян через Web-браузер отсылает файл с секретным ключом ЭЦП клиента и введенный клиентом пароль на сайт злоумышленников по адресу www.i-bifit.com или www.i-bifit.in, после чего с заданной периодичностью обращается
к этим сайтам в ожидании команды блокирования компьютера клиента.
При получении с сайта злоумышленника команды блокирования троян перенаправляя сетевой ввод-вывод, не позволяет клиенту соединиться с банковским сервером «iBank 2» и подменяя информационные сообщения, выдает клиенту
диалоговое окно со следующим текстом: "System. Ошибка. Технические работы. Окончание xx.xx.xxxx в xx:xx".
Ниже представлен скриншот, снятый на компьютере клиента в момент блокирования трояном доступа к банковскому серверу «iBank 2».
Во время блокирования
компьютера клиента злоумышленники, используя похищенный секретный ключ ЭЦП и пароль, подключаются банковскому серверу «iBank 2» и от имени клиента отправляют в банк платежное поручение с корректной ЭЦП клиента.
В дальнейшем при разборе конфликтных ситуаций анализ журналов банковских
серверов системы «iBank 2» показывает, что практически все противоправные действия совершаются злоумышленниками с IP-адресов, расположенных вне России — Польша, Индонезия, Пакистан, Новая Зеландия и т.д.
При этом основными направлениями увода денег клиента оказываются:
перевод на
счет физического лица (408..., 423... и т.д.), являющегося клиентом в другом российском банке
перевод на "котловой" счет карточного процессинга (30232..., 30233...) в другом банке с указанием в назначении платежа номера специального карточного счета
перевод на расчетный счет организации
или частного предпринимателя с указанием в назначении платежа номера электронного кошелька Web-money, PayPal и др.
Детальный анализ работы выявленного трояна показывает, что злоумышленники эксплуатируют фундаментальную проблему — неспособность некоторых пользователей обеспечивать
доверенную среду исполнения на своем компьютере.
Предвидя возникновение специализированных вредоносных программ (троянов) еще более двух лет назад, компания «БИФИТ» начала реализовывать и встраивать в систему «iBank 2» дополнительные механизмы защиты информации, которые сейчас могут и
должны эксплуатироваться банками для резкого снижения вероятности успешного использования злоумышленниками похищенных секретных ключей ЭЦП клиентов.
Банкам настоятельно рекомендуется:
использовать встроенный в систему «iBank 2» механизм IP-фильтрации по клиентам
использовать
встроенный в систему «iBank 2» механизм выявления подозрительных документов
использовать встроенный в систему «iBank 2» механизм SMS-инфоромирования клиентов о входе в систему, поступлении документов, движении по счетам
начать плановый переход клиентов к использованию USB-токена «iBank 2
Key» (подробнее)
провести обновление системы «iBank 2» до последнего билда версии 2.0.14 — в последних билдах встроены новые дополнительные механизмы защиты информации
Для предотвращения попадания на компьютер троянов пользователям системы «iBank 2» настоятельно рекомендуется:
Соблюдать регламент ограниченного доступа к данному компьютеру.
Использовать и оперативно обновлять системное и прикладное ПО только из доверенных источников, гарантирующих отсутствие вредоносных программ. При это необходимо обеспечить целостность получаемых на носителях или загружаемых из
Интернета обновлений.
Использовать и оперативно обновлять специализированное ПО для защиты информации — антивирусное ПО, персональные межсетевые экраны, средства защиты от несанкционированного доступа и пр.
Соблюдать правила безопасной работы в Интернете.
В качестве
действенной меры по борьбе с выявленным трояном пользователям системы «iBank 2» рекомендуется:
На компьютере пользователя в настройках персонального межсетевого экрана запретить весь IP-трафик (входящий и исходящий, по всем типам протоколов) для IP-адресов 58.65.234.17 (www.i-bifit.com) и
69.50.160.212 (www.i-bifit.in) с уведомлением клиента о попытке соединения по указанным IP-адресам
На корпоративных межсетевых экранах и корпоративных прокси-серверах запретить IP-трафик (входящий и исходящий, по всем типам протоколов) для IP-адресов 58.65.234.17 (www.i-bifit.com) и 69.50.160.212
(www.i-bifit.in) с уведомлением системного администратора о попытке соединения по указанным IP-адресам
На самом деле. как только начал 24ру впаривать эти токены - тут же посыпались сообщения - все ужасно, без токенов упрут пароль, участились случаи!!! И т.п.
В данном случае банк старается защитить своих клиентов всеми доступными ему
способами.
